Россияне массово подвергаются атакам вируса-вымогателя

Граждане России массово получают электронные письма, содержащие вирус-вымогатель Troldesh.  Письма приходят от имён популярных авиакомпаний, автодилеров и СМИ.

Известно, что многие российские компании стали жертвами атаки.

В этом месяце вирус был обнаружен в более чем тысяче фишинговых писем.

ПО работает по принципу вымогателя: сначала она шифрует данные на зараженном устройстве, а затем требует денег для восстановления доступа к ним.

Согласно информации Group-IB, сфера распространения вируса в последнее время расширилась — теперь он все еще занимается майнингом криптовалюты. Кроме того, Troldesh генерирует трафик на сайты для увеличения трафика и доходов от рекламы.

Эксперты отметили, что вредоносная новостная рассылка пришла от имени автодилеров KIA и Rolf, Polar Airlines, новосибирского интернет портала и сайта РБК.

Почта от имени сотрудников компании содержит защищенный паролем архив. Он якобы содержит подробную информацию о «заказе».

В Group IB заметили, что все адреса отправителей являются поддельными. Они не связаны с реальными компаниями.

Впервые Troldesh привлек внимание специалистов Group-IB в 2015 году. В марте 2019 года вирус был широко распространен от имен известных ритейлеров, финансовых и строительных организаций.

Пользователи получали зараженные письма, отправленные Ашаном, Магнитом, Славнефтью и ПИК.